Il DPO non è il guardiano dell’IT aziendale: il tribunale di Firenze lo mette nero su bianco

Con la sentenza del 28 maggio 2026, il Tribunale di Firenze ha deciso una controversia che, al di là del suo valore processuale immediato, costituisce un’occasione rara: una pronuncia di merito che si confronta direttamente con la natura giuridica del ruolo del Data Protection Officer, con i limiti della sua responsabilità contrattuale e con il perimetro entro cui può essere chiamato a rispondere di eventi dannosi occorsi nell’organizzazione del titolare del trattamento.
La sentenza merita attenzione, non tanto per la sua complessità dogmatica (il Giudice Castagnini ragiona in modo lineare e ben ancorato al testo del GDPR) quanto perché risolve con chiarezza una questione che nella prassi rimane sistematicamente aperta: fin dove arriva la responsabilità del DPO quando qualcosa va storto? In materia, abbiamo pubblicato la seconda edizione del Manuale operativo del D.P.O. – Aggiornato a Regolamento AI Act, Legge AI e Direttiva NIS2, disponibile su Shop Maggioli e su Amazon.

1. I fatti: una truffa informatica da € 390.000 e un DPO chiamato a rispondere

Il punto di partenza è un rapporto professionale di lunga data: una società operante nel settore delle utility aveva affidato nel 2019 a un consulente esterno l’incarico di Responsabile della Protezione dei Dati. Il rapporto si protrae per anni, fino a quando il DPO, a novembre 2023, con effetti dal 31 dicembre 2023, comunica formalmente la disdetta dall’incarico. A quel punto la società smette di pagare i compensi dovuti per le prestazioni già rese. Il DPO ottiene quindi un decreto ingiuntivo per il recupero dei propri crediti professionali.
Fin qui una vicenda ordinaria di recupero crediti tra professionista e cliente. La società rimane inadempiente sui compensi; il DPO ottiene dal Tribunale di Firenze, nel maggio 2025, un decreto ingiuntivo per il recupero delle proprie spettanze. La società propone opposizione, chiedendone la revoca.
Ma nel marzo 2024, tre mesi dopo la cessazione dell’incarico, e quindi mentre il contenzioso sul decreto ingiuntivo stava per aprirsi, la società aveva subito una truffa informatica di rilevante entità: una classica frode BEC (Business Email Compromise), in cui ignoti avevano intercettato le comunicazioni tra la vittima e un suo fornitore, sostituito le coordinate bancarie e dirottato pagamenti per €390.000 su conti non riconducibili al legittimo creditore.
Ed è qui che la vicenda cambia registro. La società, nell’ambito del giudizio di opposizione, non si limita a contestare il credito del DPO, ma lancia un contrattacco riconvenzionale da €390.000: sostiene che il DPO avrebbe dovuto vigilare sull’adeguatezza delle misure di sicurezza informatica, avrebbe dovuto segnalare le vulnerabilità presenti nei sistemi, e che la sua asserita mancanza di indipendenza rispetto a una società IT che operava sulla stessa infrastruttura configurava un conflitto di interessi invalidante l’intero incarico. In sostanza: sei tu il responsabile della truffa che ci ha colpito, e devi pagarla tu.
Il risultato: l’opposizione al decreto ingiuntivo viene rigettata integralmente, il decreto confermato, il DPO incassa anche gli ulteriori compensi richiesti in via riconvenzionale (€14.558,85), e le spese di lite vengono liquidate a carico della società opponente per €22.457. In materia, abbiamo pubblicato la seconda edizione del Manuale operativo del D.P.O. – Aggiornato a Regolamento AI Act, Legge AI e Direttiva NIS2, disponibile su Shop Maggioli e su Amazon.

2. Il punto fermo: il DPO non esegue, consiglia

Il cuore della decisione è al paragrafo 4, dove il Tribunale costruisce con meticolosità il perimetro dei compiti del DPO attraverso una lettura combinata degli artt. 37, 38 e 39 GDPR e delle Linee Guida WP29, che ancora oggi costituiscono il principale riferimento interpretativo sul punto.
La conclusione è netta: «il DPO non assume mai compiti propriamente esecutivi». La responsabilità di mettere in atto misure tecniche e organizzative adeguate, ivi incluse quelle di sicurezza informatica, grava in via esclusiva sul titolare del trattamento ai sensi dell’art. 24, par. 1, GDPR, non sul DPO. Quest’ultimo informa, consiglia, sorveglia, segnala le difformità. Ma non decide, non implementa, non risponde degli inadempimenti del titolare.
Non si tratta di una scoperta giurisprudenziale: è quanto il Regolamento dice espressamente, ed è quanto le Linee Guida WP29 ribadiscono con altrettanta chiarezza (p. 22: «in caso di inosservanza delle misure previste dal GDPR, la responsabilità grava esclusivamente in capo al titolare e al responsabile del trattamento»). Ma averlo affermato in un contesto contenzioso concreto, con un danno reale di €390.000 sul tavolo e una parte che premeva per attribuire quella responsabilità al DPO, ha un peso diverso dalla lettura teorica della norma.
Il Tribunale va oltre e verifica puntualmente anche il contratto di incarico stipulato tra le parti, riscontrando che l’art. 4 del disciplinare riproduceva sostanzialmente i contenuti dell’art. 39 GDPR, senza aggiungere obblighi ulteriori di tipo esecutivo. Questo passaggio è metodologicamente importante: il Giudice non si ferma alla norma astratta, ma verifica se il contratto avesse eventualmente esteso il perimetro di responsabilità del DPO oltre quanto previsto dal Regolamento. La risposta è negativa, e l’eccezione cade.

3. L’adempimento diligente: la documentazione ha vinto la causa

Il secondo aspetto rilevante riguarda la prova dell’adempimento. Il Tribunale dedica ampio spazio alla documentazione prodotta dal DPO, rilevando che questa dimostra non solo l’esecuzione formale degli adempimenti contrattuali (audit, report, gap analysis), ma anche una interlocuzione sostanziale e continua con il titolare.
I passaggi documentati sono significativi: già nel 2022 il DPO aveva segnalato in comunicazioni anche informali la necessità di implementare l’autenticazione a due fattori per l’accesso VPN; aveva valutato i sistemi di autenticazione come «non accettabili»; aveva raccomandato nel 2023 la formazione del personale per riconoscere le email truffa; aveva segnalato, in un audit del 2021, la trasmissione di dati personali via email senza misure di sicurezza adeguate, proponendo l’azione correttiva specifica.
Il titolare era consapevole dei rischi e lo dimostrava una sua stessa comunicazione acquisita agli atti, in cui riconosceva l’esposizione eccessiva e la necessità di bilanciare costi e rischi. Ha scelto di non intervenire. Questa scelta appartiene al titolare, non al DPO.
La sentenza dice implicitamente qualcosa di fondamentale per chi svolge questo ruolo nella pratica: la documentazione non è burocrazia. È la prova della propria diligenza professionale in caso di contenzioso. Ogni segnalazione scritta, ogni audit, ogni raccomandazione non accolta dal titolare è un elemento di prova che distingue il DPO che ha fatto il proprio lavoro da quello che non lo ha fatto. In questo caso ha fatto la differenza tra confermare un decreto ingiuntivo e doverlo rimborsare.

4. La questione del conflitto di interessi: una lettura corretta ma da non sottovalutare

L’opponente aveva sollevato un conflitto di interessi tra il DPO e una società terza che prestava attività di riorganizzazione IT per la stessa cliente, rilevando una parziale sovrapposizione nella compagine societaria delle due.
Il Tribunale respinge la censura con un ragionamento a fortiori: se il GDPR ammette che il DPO possa essere addirittura un dipendente del titolare del trattamento (art. 37, par. 6), è difficile sostenere che la condivisione di soci tra due società giuridicamente distinte configuri un’incompatibilità. Il conflitto di interessi rilevante, come specificato dalle Linee Guida WP29, è quello che si produce all’interno dell’organizzazione del titolare, quando il DPO riveste simultaneamente ruoli manageriali con potere di determinare finalità o mezzi del trattamento. Non era questo il caso.
La soluzione è corretta nel merito. È tuttavia opportuno non sottovalutare la questione nella prospettiva pratica: il tema dell’indipendenza del DPO è uno dei più sensibili nell’applicazione quotidiana del Regolamento, e la prassi delle Autorità di controllo, incluso il Garante italiano, evidenzia una certa severità nel valutare situazioni in cui il DPO abbia legami strutturali con altri soggetti che operano sugli stessi trattamenti. La sentenza di Firenze risolve il caso concreto in modo ragionevole, ma non esaurisce la riflessione sul tema: ogni situazione va valutata in funzione della sostanza dei rapporti, non solo della forma giuridica.

5. Il DPO aveva già disdettato: un elemento che il Tribunale non dimentica

Il Tribunale registra un dato che, a rigore, avrebbe da solo chiuso la questione della responsabilità per la truffa: il DPO aveva comunicato la disdetta dall’incarico il 22 novembre 2023, con effetti dal 31 dicembre 2023. La truffa è avvenuta il 5 marzo 2024.
Al momento dell’evento dannoso, non esisteva più alcun rapporto contrattuale tra le parti. Qualunque argomentazione sull’inadempimento degli obblighi di sorveglianza sarebbe risultata infondata già per questo motivo, indipendentemente dall’analisi del merito.
Il Giudice lo registra ma, correttamente, non si limita a questo: affronta la questione nel merito, escludendo l’inadempimento anche nella fase in cui l’incarico era attivo. Questa scelta è metodologicamente apprezzabile perché produce una pronuncia utile sul piano interpretativo generale, e non una decisione che si esaurisce nella specificità del caso.

6. La richiesta ex art. 89 c.p.c.: il termine “testa di paglia” non è cancellabile

Un passaggio laterale ma non privo di interesse riguarda la richiesta di cancellazione, avanzata dal DPO, dell’espressione «testa di paglia» utilizzata dall’opponente nell’atto di citazione per descrivere il ruolo effettivamente svolto.
Il Tribunale rigetta la richiesta. La motivazione è corretta: ai sensi dell’art. 89 c.p.c., la cancellazione è riservata alle espressioni sconvenienti e offensive che superino il limite della correttezza processuale e siano finalizzate a ledere il valore e i meriti dei soggetti presenti nel processo. Nel caso di specie, l’espressione, per quanto colorita e certamente sgradita, rientrava nel perimetro del thema decidendum: la carenza di indipendenza e autonomia del DPO era uno degli argomenti centrali dell’opposizione. Espressioni forti usate nell’ambito della difesa delle proprie ragioni, pur sconvenienti, non raggiungono la soglia dell’offesa processualmente rilevante quando attengono all’oggetto del contendere.

7. Il rigetto della responsabilità aggravata ex art. 96 c.p.c.: la complessità normativa come esimente

Il Tribunale rigetta anche la domanda di condanna per lite temeraria. Il ragionamento è di interesse: la normativa sul DPO è riconosciuta come settorialmente complessa, e l’opponente, pur avendo torto, non aveva agito in malafede né con coscienza dell’infondatezza delle proprie tesi. Aveva sostenuto una posizione giuridicamente discutibile in un ambito in cui l’incertezza applicativa è effettiva.
Questa valutazione è realistica. Il perimetro della responsabilità del DPO è una delle questioni più dibattute nella prassi del GDPR: la giurisprudenza è rada, le Autorità di controllo si esprimono prevalentemente in sede sanzionatoria e non sempre con riferimento alle fattispecie più rilevanti per il contenzioso civile, e la dottrina offre orientamenti spesso non convergenti. Sostenere in giudizio che il DPO avesse una quota di responsabilità nell’evento-truffa non è un’operazione processualmente abusiva: è una tesi difensiva infondata, il che è cosa diversa.

8. Cosa significa questa sentenza per chi fa il DPO

La pronuncia del Tribunale di Firenze non cambia il diritto applicabile. Conferma ciò che il GDPR già dice e che le Linee Guida WP29 già specificano. Ma lo conferma in un contesto in cui era in discussione una somma rilevante e in cui la pressione per espandere la responsabilità del DPO oltre il suo perimetro normativo era concreta.
Per chi svolge questo ruolo nella pratica, la sentenza offre almeno tre indicazioni operative che vale la pena tenere a mente.
La prima è che il perimetro dell’incarico va scritto con precisione nel contratto. Non per limitare la propria utilità professionale, ma per rendere chiaro al titolare e fin dall’inizio del rapporto che le raccomandazioni del DPO non si sostituiscono alle sue decisioni, che l’accountability rimane in capo a lui, e che eventuali inadempimenti sulle misure di sicurezza sono responsabilità sua, non del consulente che gliele ha segnalate. Un contratto che riproduca pedissequamente l’art. 39 GDPR, come in questo caso, è già un argomento difensivo solido.
La seconda è che ogni segnalazione va tracciata. Comunicazioni informali, email, report, audit: tutto ciò che documenta l’attività svolta e le raccomandazioni formulate ha valore probatorio. Il DPO che non tiene traccia del proprio lavoro si espone, in caso di contenzioso, all’impossibilità di provare di aver fatto quanto era suo compito fare. In questo caso, la documentazione era abbondante e precisa: dal 2021 al 2023, ogni rilievo era stato formalizzato. Questo ha consentito al Giudice di ricostruire una storia di adempimento diligente anziché una storia di inerzia.
La terza è che la disdetta dall’incarico va comunicata per iscritto e con congruo anticipo, documentando la data di cessazione degli effetti. In questo caso il DPO aveva comunicato la disdetta tre mesi prima della truffa: questo ha reso impossibile anche solo discutere di una sua responsabilità per l’evento. La cessazione del mandato è un fatto giuridicamente rilevante che deve risultare inequivocabilmente dagli atti.

9. Una nota finale: la sentenza come specchio di una tensione sistemica

C’è un aspetto della vicenda che la sentenza non tematizza esplicitamente ma che emerge con chiarezza dalla lettura dei fatti: il titolare del trattamento sapeva che i propri sistemi erano inadeguati. Aveva ricevuto segnalazioni scritte, aveva risposto riconoscendo il problema, aveva scelto di non intervenire per contenere i costi. Poi, quando il danno si è materializzato, ha tentato di riversarne la responsabilità sul soggetto che quelle segnalazioni le aveva fatte.
È una dinamica che chi fa il DPO conosce bene: la figura è spesso percepita dai titolari come uno scudo reputazionale e, in caso di incidenti, come un potenziale capro espiatorio. La sentenza di Firenze oppone a questa dinamica il testo del Regolamento, e lo fa con argomenti solidi. Ma la dinamica non scomparirà con una pronuncia di primo grado.
Il valore della sentenza è anche questo: ricordare che la funzione del DPO è strutturalmente diversa da quella del titolare, che la responsabilità non si delega nominando un consulente, e che la conformità al GDPR non si acquista con un contratto di incarico, si costruisce con scelte organizzative che il titolare è l’unico a poter fare.

Ti interessano questi contenuti?

Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!